Guide d'achat EDR

Ces dernières années, nous avons assisté à une prolifération et une interconnexion croissantes des terminaux et des données, ainsi qu'à une augmentation des activités malveillantes des acteurs malveillants. Ces variables représentent un danger important pour la continuité des activités des grandes et des petites entreprises. Les cybercriminels et les organisations parrainées par l'État ciblent de plus en plus les entreprises.

Les approches de protection traditionnelles combattent les menaces connues, mais sont sensibles aux stratégies d’attaque sophistiquées et non découvertes, et elles ne donnent pas d’informations sur les actifs, ce qui constitue un obstacle majeur à la protection de ces systèmes. Les experts en sécurité des terminaux ne sont souvent accessibles qu’aux entreprises les plus grandes ou les mieux financées. Si l’on ajoute à cela le fait que de nombreuses attaques se produisent désormais à la vitesse d’une machine avec de multiples pièces mobiles, les équipes humaines qui dépendent de solutions de sécurité des terminaux conventionnelles sont incapables de faire face.

Une solution de détection et de réponse aux points d'extrémité (EDR) prévient et isole les logiciels malveillants tout en fournissant aux professionnels de la sécurité les outils dont ils ont besoin pour gérer efficacement ces menaces. Une solution EDR contemporaine peut assurer la continuité des activités en combattant avec succès les menaces automatisées et sophistiquées en évolution rapide telles que les ransomwares ou les attaques sans fichier sans augmenter la charge de travail des analystes ou sans nécessiter de personnel de sécurité hautement qualifié.

Automatisation et convivialité

Alors que les menaces sophistiquées et les surfaces d’attaque devraient augmenter en 2022 et au-delà, de nombreuses entreprises ont du mal à faire face aux pirates informatiques. Un EDR contemporain devrait réduire le besoin de personnel de sécurité hautement qualifié en allégeant une charge croissante grâce à une automatisation intelligente.

La clé pour tirer rapidement profit d’un EDR pour les acheteurs est d’automatiser et de simplifier. L’automatisation de l’IA a délégué la majorité du travail aux algorithmes tout en réduisant l’engagement humain. Le programme devient plus simple à utiliser grâce à ces techniques d’IA, et les équipes peuvent être opérationnelles immédiatement sans nécessiter d’activation prolongée.

Les délais de réponse sont importants lors d'une attaque : le temps d'enquête doit être largement inférieur à une minute pour éliminer les menaces avancées avant qu'elles n'endommagent votre infrastructure.

Les acheteurs doivent rechercher un EDR autonome et doté de capacités de détection et de réponse automatisées. Cela donne aux analystes un aperçu clair et en temps réel de l'évolution d'une attaque et peut fournir des mesures correctives guidées pour les aider à revenir rapidement à la normale.

Gestion des alertes

La principale différence entre un EDR et les solutions antivirus (AV) standard est que ce dernier dépend des signatures existantes pour la détection et doit être conscient d'une menace afin de l'inhiber. En revanche, un EDR utilise une approche comportementale pour détecter les logiciels malveillants et autres risques potentiels en fonction de la façon dont ils agissent sur un terminal. De plus, contrairement à un antivirus, un EDR est léger et ne nécessite pas de mises à jour régulières.

Pour réduire le nombre d’alertes et la charge de travail des analystes, l’IA utilisée dans un EDR contemporain doit être capable de détecter rapidement, d’offrir une excellente précision et une grande fidélité. Les acheteurs doivent se renseigner sur l’IA et les méthodes d’apprentissage automatique utilisées. Par rapport aux moteurs d’IA qui dépendent de modèles pré-entraînés et d’analyses pour la détection, un EDR qui utilise un modèle d’apprentissage initial pour définir le comportement habituel de chaque point de terminaison offre une précision améliorée dans les détections et les alertes lorsque des écarts par rapport à la normale se produisent.

Un EDR contemporain doit être équipé d'un système de gestion des alertes puissant, piloté par l'IA, capable d'apprendre de l'analyste et de mettre en œuvre de manière autonome la prise de décision de l'analyste dans la gestion quotidienne des alertes afin d'améliorer le temps de réaction et de soulager la fatigue des analystes. Le déploiement d'une solution de gestion des alertes entièrement automatisée et pilotée par l'IA est essentiel pour lutter contre la fatigue des alertes, réduire l'attrition du personnel et reprendre le contrôle.

Détection des menaces

La chasse aux menaces est un élément clé d'un système EDR contemporain et est nécessaire pour maintenir l'environnement propre et exempt de menaces. La chasse aux menaces permet de détecter rapidement de nouvelles menaces et de découvrir les points faibles d'un écosystème. L'exploration de données vous permet de détecter et d'éradiquer les risques latents qui, autrement, ne seraient pas signalés, mais qui pourraient exister dans un environnement pendant des mois, voire des années, en attendant d'être exploités par un attaquant.

Les attaques en mémoire et sans fichier sont par nature difficiles à tracer, et elles deviennent considérablement plus difficiles à suivre lorsque les attaquants utilisent plusieurs variantes lorsqu'ils traversent une grande infrastructure. Un EDR contemporain doit automatiser le processus de recherche et utiliser l'exploration de données pour permettre aux équipes de sécurité de rechercher automatiquement les risques qui présentent des similitudes comportementales et fonctionnelles avec des événements passés, en fournissant des résultats en quelques secondes.

Il est essentiel de faire preuve d'adaptabilité lors de la recherche de menaces. Les acheteurs doivent rechercher un EDR qui fournit non seulement une grande bibliothèque de manuels de détection prédéfinis pouvant être mis en œuvre immédiatement, mais également des manuels sur mesure pouvant être facilement générés pour des circonstances particulières propres aux exigences de sécurité d'une organisation sans nécessiter d'expérience en matière de scripts.

La recherche d'une aiguille dans une botte de foin est une analogie courante pour la chasse aux menaces. Les recherches EDR doivent pouvoir fournir des résultats complets et précis en temps réel en analysant des critères de recherche particuliers et en combinant ces paramètres de manière inclusive ou exclusive. Pour aider encore plus les analystes et leur faire gagner du temps, les résultats doivent être affichés dans une interface utilisateur graphique (GUI) facile à utiliser afin que les analystes puissent rechercher simplement et intuitivement n'importe quel événement, à partir de n'importe quel point de terminaison, à tout moment.

Téléchargez le livre blanc d'IBM pour en savoir plus sur le livre blanc Présentation du guide d'achat EDR uniquement sur Whitepapers Online.